Jestem nowy w administrowaniu systemem i mam zapytanie dotyczące uprawnień. Mam grupę o nazwie administration
. Wewnątrz administration
grupy, mam użytkowników user1
, user2
, user3
, superuser
. Wszyscy użytkownicy są w administration
grupie. Teraz muszę przyznać użytkownikowi uprawnienia, aby superuser
móc przeglądać /home
katalog innych użytkowników. Jednak nie chcę user1
, user2
, user3
aby zobaczyć dom innego użytkownika innego niż siebie. (To znaczy, user1
powinien widzieć tylko user1
dom i tak dalej).
Utworzyłem użytkowników i grupy i przypisałem wszystkich użytkowników do grupy. Jak mam określić uprawnienia na superuser
teraz?
Innymi słowy, myślę o posiadaniu dwóch grup (powiedz NormalUsers
i Superuser
). NormalUsers
Grupa będzie mieć więcej użytkowników user1
, user2
a user3
. Superuser
Grupa będzie miała tylko użytkownikowi Superuser
. Teraz potrzebuję Superuser
mieć pełny dostęp do plików użytkowników w grupie NormalUsers
. Czy to możliwe w Linuksie?
źródło
Odpowiedzi:
Jeśli użytkownicy współpracują, możesz użyć list kontroli dostępu (ACL). Ustaw ACL w katalogu domowym
user1
(i znajomych), który zapewnia dostęp do odczytusuperuser
. Ustaw także domyślną listę ACL dla nowo tworzonych plików, a także listę ACL dla istniejących plików.user1
może zmienić ACL w swoich plikach, jeśli chce.Jeśli chcesz zawsze zapewniać
superuser
dostęp do odczytuuser1
plików, możesz utworzyć inny widok katalogów domowych użytkowników z różnymi uprawnieniami, z bindfs .Pliki dostępne za pośrednictwem ~ superuser / spyglass / user1 są dostępne do odczytu na całym świecie. Oprócz uprawnień,
~superuser/spyglass/user1
jest to widokuser1
katalogu domowego. Ponieważsuperuser
jest to jedyny użytkownik, który może uzyskać dostęp~superuser/spyglass
, tylkosuperuser
z tego może skorzystać.źródło
setfacl -R -m user:superuser:rx ~user1
.Za pomocą list ACL można przyznać dostęp do określonego katalogu dowolnej grupie.
Na przykład, jeśli uruchomiłeś
setfacl -m g:dba:rwx /home/foo
, członkowie grupy dba mieliby na nią uprawnienia rwx, niezależnie od tego, która grupa jest właścicielem katalogu.Prawdopodobnie będziesz również chciał ustawić „domyślną” listę ACL (listę ACL dla nowo utworzonych obiektów w katalogu), aby zawierała to uprawnienie.
źródło
Niestety, nie ma żadnego sposobu, aby to zrobić bezpośrednio w waniliowym systemie Linux.
Możliwe, że będziesz w stanie utworzyć nową grupę w sudoerach dla częściowych administratorów z białą listą dopuszczalnych poleceń, które chcesz im umożliwić.
Aby jednak osiągnąć dokładnie to, o co prosisz, musisz użyć Apparmor lub SELinux, aby osiągnąć to, czego chcesz. Niestety żadne z tych narzędzi nie jest łatwe do skonfigurowania i użycia, a przykłady nie są tutaj objęte szybką odpowiedzią.
źródło